Cocktail - GRHUM Le référentiel : socle du PGI! Retour d’expérience U Paris 5 (Paris Descartes)

Un exemple hétérogène! L’exemple 100% Cocktail (Homogène) ne présente pas d’intérêt … pour la démonstration bien sûr!:-) Celui d’un établissement ayant des composants Cocktail, AMUE et autres paraît plus « pédagogique »

Plan Ce que nous avions à Paris 5 Le passage à GRHUM Comment cela fonctionne avec Apogée et Harpège Comment cela fonctionne avec LDAP Les applications se connectant au Référentiel ou au LDAP Ce que nous a apporté cette solution Ce que nous prévoyons Un besoin de nomenclatures partagées. DSI-14/12/2006

Précédemment Les services basés sur l’annuaire : DSI-14/12/2006 Harpège Apogée Saisie LDAP P5 Au départ, l’annuaire LDAP a été conçu pour répertorier les personnes, leur catégorie, leurs coordonnées, leurs comptes informatiques les services et les laboratoires des groupes de personnes Les services basés sur l’annuaire : la messagerie, l’authentification les droits d’accès aux informations les services pages blanches et pages jaunes. DSI-14/12/2006

Maintenant, un référentiel DSI-14/12/2006 Harpège Apogée LDAP P5 GRHUM Données partagées par toutes les applications sur les personnes, leurs coordonnées, leurs comptes informatiques les services et les laboratoires les groupes de personnes les diplômes les nomenclatures partagées LDAP Supann DSI-14/12/2006

Comment cela fonctionne avec Apogée et Harpège Harpège Apogée LDAP P5 GRHUM Dans Harpège et Apogée: Triggers et procédures synchrones pour ajout et modification des personnels des étudiants, des diplômes et des inscriptions Dans GRHUM: Procédures lancées en batch de mise à jour de groupes de personnes ou de groupes LDAP Supann DSI-14/12/2006

Comment cela fonctionne avec les annuaires LDAP Harpège Apogée LDAP P5 GRHUM Chaque soir une mise à jour différentielle du LDAP: Une procédure PLSQL suivi d’un programme java génère le fichier LDIF, Une procédure Perl génère le fichier qui permet de lancer la mise à jour du Ldap. Une synchro temps réelle a été réalisée avec le positionnement de Trigger (Apogée et Harpège) mais les performances Harpège / Apogée se déggradent fortement dans certains cas. LDAP Supann

Toutes les appli Cocktail Gestor Adèle Authentification Messagerie Personnes Groupes Harpège Apogée Réseau sans fil Interro Web Annuaire LDAP P5 Toutes les appli Cocktail GRHUM Shibboleth LDAP Supann Esup Application annuaire Mise à jour synchrone des mots de passe et mails dans les LDAP Samba

Ce que cela nous a apporté La qualité des informations (plus il y a d’applications qui les utilisent, plus on demande des données complètes et correctes) Une gestion des étudiants employés (il n’y a qu’un seul individu,même s’il y a deux entées dans le Ldap P5) Une gestion plus aisée des groupes de mail (groupes de personnes ou groupes de groupes)

Situation 2007 Moteur de synchronisation Harpège X Apogée LDAP P5 GRHUM Moteur de synchronisation LDAP Supann Fusion après développement d’une nouvelle interrogation de l’annuaire Web

Un besoin de nomenclatures partagées Pour mettre en oeuvre des procédures d’échanges et de coopération avec d’autres universités (dans le cadre de PRES ou d’UNR) nous avons un besoin urgent de nomenclatures communes.

Université Paris Descartes Situation au 15/02/2007 Gestion des groupes Université Paris Descartes Situation au 15/02/2007

Un référentiel centré donc sur les “Personnes”! Etudiant Contact Entreprises Enseignant Directeur Invité Fournisseur Personnes physiques Applications Cocktail GRHUM groupes d’individus LDAP Groupes mixtes ESup KSup Personnes morales TOIP OBM, … Groupes de groupes

Un GRHUM utilisé comme référentiel fédératif! Etudiant Contact Entreprises Apogée Enseignant Directeur Invité Fournisseur Personnes physiques Harpège Virtualia GRHUM groupes d’individus Cocktail LDAP Groupes mixtes ESup Autres KSup Personnes morales TOIP OBM, … Groupes de groupes

Le “groupe” (structure) L’entité de base Cocktail Ils sont « typés » : Diplôme, Equipe de recherche, Composante, Groupe système, … Ils font partie d’une hiérarchie : Chaque groupe a un groupe ou une structure père. Un groupe peut avoir plusieurs pères et un membre peut appartenir à plusieurs groupes Les groupes et les membres peuvent aussi être qualifiés (différents de typés)

Les grands “classiques”! Les grandes communautés: Intranet, Extranet, Enseignants, Chercheurs, Employés, Etudiants, Partenaires, etc … Les groupes institutionnels Services, labos, composantes, diplômes, Conseils, … Les groupes pédagogiques UE / EC / AP / Projets / Libres / … Les groupes d’autorisations ou de communication: Droits / Listes / Groupes de mail / Push / … Les groupes individuels: MesGroupes

SSO

Les groupes à P5 Construction d’une seule source de données: Le référentiel GRHUM N applications / N vues différentes / N gestion Annuaire.app GroupeScol Cor@il TrombiWeb StructureSA …

Les groupes à Paris 5 Ils sont « typés » : Diplôme, Equipe de recherche, Composante, Groupe système, … Ils font partie d’une hiérarchie : Chaque groupe a un groupe ou une structure père. Un groupe peut avoir plusieurs pères et un membre peut appartenir à plusieurs groupes Les groupes et les membres sont aussi qualifiés (différents de typés)

Les groupes à Paris 5 Les grandes communautés: Intranet, Extranet, Enseignants, Chercheurs, Employés, Etudiants, Partenaires, etc … Les groupes institutionnels Services, labos, composantes, diplômes, Conseils, … Les groupes pédagogiques UE / EC / AP / Projets / Libres / … Les groupes d’autorisations ou de communication: Droits / Listes / Groupes de mail / Push / … Les groupes individuels: MesGroupes

La gestion des groupes et du référentiel : GRHUM « la racine du Système d’Information » Les nomenclatures Les groupes et structures Les personnes morales et physiques … Démos: http://www.univ-paris5.fr/gedfs/ged/0609272024.0/MENU_launcher.html http://www.univ-paris5.fr/gedfs/ged/0701071551.0/DiversAnnuaire_launcher.html http://www.univ-paris5.fr/gedfs/ged/0701071552.0/AnnuaireExempleSimple_launcher.html http://www.univ-paris5.fr/gedfs/ged/0702182101.0/AgendaP_viewlet_swf.html http://www.univ-paris5.fr/gedfs/ged/0702182104.0/DiversAnnuaireGroupeBudget_launcher.html Version 2006 refondue en 2007

Ecran principal d’un « groupe » (2) Membres du « groupe » Les # types d’un groupes Téléphone, fax, mobiles Application principale (en cours de remplacement). Développement arrêté. Le groupe de mail associé Administration: secrétaire(s), responsable administratif, .. Adresse du Site Web du groupe

Ecran principal d’un « groupe » (3) Spécifique DSI 1 groupe peut être un centre de responsabilité budgétaire A une @ peuvent être associées +sieurs adresses de mail (Alias) Des mots clefs pour une indexation et une recherche + facile Pourra apparaître ds l’annuaire Web Saisie de: Téléphone, fax, mobiles

Ecran principal d’un « groupe » Navigateur / « browser » de « groupes » Membres du groupe sélectionné

La nouvelle application principale Version Client-Riche (Java)

Exemple d’un formulaire « structure » Recherche Résultat Exemple d’un formulaire « structure » Édition

Les membres! La(es) qualification(s) d’un membre d’une « structure » Chaque qualification peut être décrite et datée La(es) qualification(s) d’un membre d’une « structure » Plusieurs qualifications possibles pour un membre pour une structure et propre à cette dernière

Les groupes pères ou « fils »! Chaque qualification peut être décrite et datée La(es) qualification(s) d’un groupe membre d’un « groupe » Plusieurs qualifications possibles pour une structure pour sa structure « père » et propre à cette dernière

Interface web de gestion individualisée des groupes Surtout à destination des enseignants mais non limitée à ces derniers.

Constitution d’un groupe: exemple Je choisis par les groupes et communauté existantes Les membres d’un groupe L’arbre des groupes Constitution d’un groupe: exemple

Un trombino d’un groupe pédagogique (limite actuelle : 800 étudiants)

Gestion des groupes pédagogiques E-learning Emplois du temps Charges prévisionnelles Listes et groupes de mail Trombinoscopes Droits et privilèges ENT … Démo (application en cours de refonte => Web-Ajax) http://www.univ-lr.fr/actes/ged/courrier/commun/0410281702.0/GroupeScol_viewlet_swf.html

SuperPlan La gestion des « agendas » La centrale des plannings! Emplois du temps enseignement Réunions / Salles / Objets Agendas individuels et de groupes Partage d’agendas ICS Exports ICS Intégrée aux autres applications: Missions (Kiwi) Congés (HamAC / Gestor) helpDesk (DT) … Démo : http://www.univ-paris5.fr/gedfs/ged/0701022340.0/Ligntning_viewlet_swf.html http://www.univ-paris5.fr/gedfs/ged/0701022338.0/EDTscol_viewlet_swf.html

« ZAP » La « télécommande » universelle!:-) Un SSO Multi-niveau Multi-plateforme Multi-application! Zap est une application qui tente de répondre un besoin de sécuriser l’accès au système d’information, il permet de contrôler l’accès aux applications en facilitant les taches de l’utilisateur. Zap s’integre pleinement dans une architecture universitaire.

Le besoin: Sécuriser l’accès au système d’information Gérer plusieurs niveaux d’authentification Simplifier et homogénéiser l’accès aux applicatifs Virtualiser notamment leur localisation Simplifier leur déploiement / publication Unifier l’authentification auprès de toutes les briques donnant accès au SI. Un poste frontière pour toutes les applications quelle qu’elle soit: Exécutables de type client-serveur Java Webstart (JVM) Applications Web … L’accès au système d’information doit être sécurisé afin de pouvoir autoriser ou interdire des utilisateurs à accéder aux ressources critiques. La question est comment définir pour chaque applications, un niveau de sécurité sans avoir à développer des api différentes. Les utilisateurs sont souvent désorientés devant la multitude d’accès aux applications (Web, montage samba ...). Le lancement d’application devient transparent et l’utilisateur ne se préoccupe d’URL ou de chemin réseau

Un objectif Fournir une solution pour accéder aux applications: Single-Sign-On multi : applications plate-formes authentifications ZAP est avant tout un lanceur d’application. Il propose une fonctionnalité SSO qui facilite grandement la tâche de l’utilisateur. Il peut lancer tout types d’application métiers sur les systèmes d’exploitation courants. Pour l’instant ZAP sait lancer des exécutables, des applications Java, des applications web ou webstart. Son api ouverte permet de rajouter un lanceur personnalisé. Zap étant écrit en java et déployé en webstart il peut être lancés sur Windows, linux ou MacOsX. Plusieurs type d’authentification sont disponibles allant de l’accès libre à l’authentification par certificat.

Une application Java-Client (JVM 1.4.2) Une solution ZAP Une application Java-Client (JVM 1.4.2) Exemple animé: …: http://www.univ-lr.fr/actes/ged/courrier/commun/0503051452.0/ZAP_launcher.html

L’authentification SSO ZAP - proxyCAS Texte ZAP est couplé à ServAut (server d’authentification Cocktail) et implémente le protocole proxyCAS Consortium Cocktail